使用 Trend Micro 事件回應工具包手動從 macOS 端點收集證據。
 |
重要證據檔案使用與 SANS Institute 和 CyLR 工具相同的資料夾結構。
|
步驟
- 選擇。
- 點選Collect Evidence。
- 為手動收集配置以下設定。設定說明證據類型要收集的證據類型。
注意
對於 macOS 端點,您需要以下資訊:-
基本資訊
-
處理資訊
-
服務資訊
-
網路資訊
-
帳號資訊
-
使用者活動
-
檔案時間軸
-
記錄
端點上的存檔位置資訊證據包在本地端點上的位置資訊。重要
-
本地檔案不具加密,並在端點上保留,直到被刪除。這可能允許任何有權訪問檔案系統的人訪問敏感資訊或揭露正在進行的調查的存在。
-
證據檔案會佔用硬碟空間,這可能會影響端點性能。
-
- 點擊
下載 趨勢科技 事件響應工具包。 - 在您想要收集證據的端點上部署工具包。
- 執行工具包。
- 提取 .zip 壓縮檔案的內容。
- 以 root 使用者身份執行
TMIRT.sh。
- 如果您沒有執行腳本的權限,請執行以下命令。
- 要從 .tgz 檔案中提取工具包,請執行
xattr -c ./TMIRT-macos.tgz,然後執行./tar -xf。 - 要開始收集證據,請執行
./TMIRT-bin evidence --config_file ./config.json。
- 要從 .tgz 檔案中提取工具包,請執行
- 將工具包生成的證據包上傳至 Forensics。您可以一次上傳多個文件。每個文件的大小不得超過 4 GB。
Forensics 開始處理上傳的證據包。
|
重要
|